Hvordan stoppe Locky Ransomware: Forebygging, dekryptering og gjenoppretting

Locky er det vanlige navnet på en løsepengevarevariant som først dukket opp i 2016. Den første versjonen av Locky ble distribuert av Necurs botnett; påfølgende versjoner har blitt introdusert av Necurs og andre distribusjonsgrupper.

Vanligvis aktiveres løsepengevaren når et offer åpner et Microsoft Word-dokument som ser ut til å vise tull. Brukeren blir bedt om å "aktivere makro hvis datakodingen er feil." Hvis brukeren aktiverer makroer, aktiveres løsepengevaren og krypterer filer på måldatamaskinen, og erstatter filtypene deres med den ubrukelige ".locky"-utvidelsen.

Offeret kan ikke få tilgang til filene sine med mindre de betaler løsepengene i bitcoin. Locky lager tekstfiler og bilder med instruksjoner for å betale løsepenger.

Mens den opprinnelige versjonen av Locky ble deaktivert midlertidig av hackere med hvite hatter, opprettet malware-grupper raskt lignende varianter som PowerLocky (diskutert nedenfor). I tillegg til filtypen «.locky», kan Locky-varianter endre filtypene til målrettede filer til:

• .aesir
• .morder
• .diablo6
• .odin
• .Thor
• .ykol
• .zepto
• .zzzzzz

Dette er en delvis liste over mulige .Locky-filutvidelser. For å nøyaktig diagnostisere en Locky-infeksjon, anbefaler vi å kontakte en profesjonell gjenoppretting av løsepengevare.

For mer detaljert informasjon om den originale versjonen av Locky, les: Locky Ransomware Infection And Decryption Services. Den lenkede siden ble skrevet i mai 2016, og noe informasjon kan være utdatert.

Hvordan forhindrer jeg en Locky Ransomware-infeksjon?

Den enkleste måten å forhindre en Locky-ransomware-infeksjon på er å unngå å åpne Microsoft Word-dokumenter fra ukjente kilder. Locky kan imidlertid også "forfalske" e-postkontoer fra kjente brukere – unngå å aktivere makroer på Microsoft Word-dokumenter med mindre du er i stand til å bekrefte formålet med makroene.

Noen versjoner av Locky bruker kjente utnyttelser; disse variantene er ikke avhengige av Microsoft Word-makroer for å aktiveres. Med andre ord, når brukeren laster ned filen og prøver å åpne den, vil løsepengevaren umiddelbart begynne å kryptere målrettede data.

For bedrifter er programvare tilgjengelig for å sette Locky-filer i karantene og forhindre dem i å infisere nettverk. Imidlertid oppdaterer ondsinnede angripere ofte angrepsvektorene sine, så hold en sikkerhetskopi av viktige systemer (fortrinnsvis en sikkerhetskopi med lufthull som ikke er koblet til nettverket).

Er det et Locky Ransomware-dekrypteringsverktøy?

Fordi flere ransomware-varianter deler egenskapene til den originale Locky-malwaren, er det ikke noe enkelt svar her. En versjon, PowerLocky, har et gratis dekrypteringsprogram laget av programmereren Michael Gillespie. Lær mer om PowerLocky Decrypter her.

Noen varianter som bruker de samme angrepsvektorene som PowerLocky bruker imidlertid mer robuste metoder. Den klassiske Locky løsepengevaren (og mange påfølgende versjoner) brukte nøkkelgenerering på serversiden, noe som gjorde manuell dekryptering praktisk talt umulig. I tillegg kan noen større filer som databaser fortsatt være ubrukelige etter dekryptering med gratisverktøy på grunn av filkorrupsjon som oppstår under dekrypteringsprosessen.

Fordi mange løsepengevarevarianter er designet for å spre seg raskt, er den sikreste handlingen å koble det infiserte systemet fra alle nettverk så raskt som mulig. Hvis du prøver å dekryptere ved hjelp av gratisverktøy, sørg for at du får tilgang til den infiserte enheten med en datamaskin som ikke inneholder andre sensitive data.

Er datagjenoppretting mulig for datamaskiner infisert med Locky?

I de fleste tilfeller er gjenoppretting av løsepengevare mulig for Locky-infeksjoner. Vi anbefaler at du kontakter en profesjonell datagjenopprettingsleverandør som en første handling – helst før du prøver å dekryptere på egen hånd, siden noen gratis dekrypteringsverktøy kan forårsake korrupsjon for visse typer filer (som databaser og e-postarkiver).